Mini-Howto: динамическая блокировка Hetzner

[v-abramoff]

Объединил информацию из разных источников.

Логика работы блокировки.

• При обнаружении обращения к определенным узлам (триггеры) по протоколу TLS, ТСПУ блокирует подключения к узлам из клиентских сетей Hetzner на порты 80,443/tcp (и другие) эксклюзивно для вашего IP;
• Время активности блокировки 14-15 мин;
• Если блокировка активна и ТСПУ обнаружит попытки подключения (TCP SYN) с вашего IP к узлам из клиентских сетей Hetzner на порт 443/tcp (и другие?) - действие блокировки будет продлено на то же время;

Список известных триггеров.

• www.phpmyadmin.net
• поддомены adtidy.org (например, static)

Для предотвращения срабатывания блокировки обфусцируем TLS SNI при обращении к триггерам. Например, так:

nfqws ... [--new] --filter-tcp=443 --hostlist-domains=phpmyadmin.net,adtidy.org --dpi-desync=multidisorder --dpi-desync-split-pos=endsld

Если блокировка активна, обойти ее можно так:

nfqws ... [--new] --filter-tcp=80,443 --ipset=hetzner.txt --dpi-desync=syndata (ставить после профилей, использующих hostlist)

Список клиентских сетей Hetzner есть в файле hetzner.txt. Если вам известны другие триггеры - прошу сообщить о них здесь.

[Inosss]

Спасибо за инфу, сегодня дискордик так же похоже тестили блочить. Отвалился, а дальше на 15 минут тишина.

Если не сложно можете ответить на пару вопросов?

Правильно я понимаю что --dpi-desync=syndata работает только с ipset?

У вас написано что эту конструкцию для уже активной блокировки нужно пихать после всех правил с hostlist, разве в конфиг можно добавить ещё и ipset? Я думал это нужно делать только из кастомных скриптов, отдельным инстансом nfqws.

Работают ли эти способы с --filter-l7=discord,stun, не вкурсе?

[bol-van]

syndata является нулевой фазой, с хостами не работает.
в linux ipset-ы крайне желательно использовать режима ядра, поэтому применение --ipset параметров искусственно заблокировано в скриптах запуска. в их рамках нужно писать custom script.

discord,stun относится к части медиа. она по UDP. стратегии для TCP неприменимы

[Abyss777]

Добрый день

Есть два сервера в Hetzner, с одного вчера в 00:00-UTC ответы по HTTP/HTTPS начали зависать и обрываться.

Ну тоесть делаешь curl, а если ответ короткий, то он целиком приходит, а если подлиннее, то только кусок и висит. Со стороны сервера видно, что всё ушло.

Причем не только 443, но например 8443.

Сегодня другой сервер, он в другой подсети Hetzner началось тоже самое. Причем не только HTTPS но и IMAPS, IDLE не работает вообще, разовая синхронизация иногда проходит.

Наблюдается у трёх провайдеров (в том числе мобильный мегафон), еще у одного провайдера без проблем.

[Elllkere]

не уверен, что блокируют всю подсеть, зашел специально на phpmyadmin, получил непрогруз и после этого спокойно зашел на 2ip.ru, которые тоже на hetzner, возможно там конечно стоят исключения для некоторых, но хз. Если оставить syndata для всех ип hetzner'a то в итоге, те которые не заблокированы сломаются. phpmyadmin открывается, но 2ip уже нет поэтому я не уверен насчет этого, да и зачем им банить phpmyadmin. Что-то возможно делают как с тг когда пытались по ип банить и видимо часть hetznera попала под руку

[v-abramoff]

да и зачем им банить phpmyadmin

Ответ здесь.

[Elllkere]

да и зачем им банить phpmyadmin

Ответ здесь.

ну посути они не забанили сам сайт, они просто забанили обход через него, как я и говорил просто попал под руку, там вроде iana также банили или какой-то другой сайт

[xtclovver]

У меня сервер Hetzner в Финляндии. Там стоит vless Reality на 3x-ui панели. Всегда весел Reality на 443 порте и вот примерно 3 дня назад он умер. Сервер отдаёт траффик 100mb/s (провайдер больше не даёт, даже без vpn), а я ему выгружаю максимум 250kb/s. Так вот, только что проверил vless Reality на 443 порте до сих пор мертв, а вот как только я с 443 порта перекинул выше 2000, на том же сервере с теми же настройками Reality (кроме ключа) траффик перестал резаться вовсе. Это я пишу для тех у кого такая же ситуация, может Вам поможет. (Смена IP в hetzner не помогла, пытался 5 раз, в большем количестве переприсваиванией IP не вижу смысла, да и денег каких-никаких это стоит)

Время активности блокировки 14-15 мин;

Я так понимаю банится конкретно порт, а не весь IP. Потому что если сбегать на 443 порт, а потом на другой порт то всё работает по схеме как я выше описал. Так что я бан встретил только на 443 порте, другие это не затрагивает, но хотелось ещё бы от других услышать информацию.

P.S ssh/22 живой